Azure StorageアカウントでMicrosoft Entra ID認証をデフォルトに設定する手順
このブログシリーズ 「クラウドセキュリティ 実践集」 では、一般的なセキュリティ課題を取り上げ、「なぜ危険なのか?」 というリスクの解説から、 「どうやって直すのか?」 という具体的な修復手順(コンソール、Azure CLI、Terraformなど)まで、分かりやすく解説します。
この記事では、Azure Storageアカウントにおいて「AzureポータルでMicrosoft Entra認証をデフォルトにする」設定が無効になっている場合のリスクと対策を解説します。
ポリシーの説明
Azure Storageアカウントにアクセスする際の認証方法として、Microsoft Entra ID(旧Azure Active Directory)を既定で使用するよう設定することは、ゼロトラストセキュリティモデルに沿ったベストプラクティスです。
この設定(defaultToOAuthAuthentication)を有効にすると、Azureポータルからストレージアカウントのデータ(Blob、Files、Queue、Table)にアクセスする際、デフォルトでMicrosoft Entra ID認証(OAuth 2.0)が使用されます。これにより、アクセスキーやSASトークンの使用を最小限に抑えることができます。
修復方法
コンソールでの修復手順
Azure コンソールを使用して、Microsoft Entra認証をデフォルトに設定します。
既存のストレージアカウントの場合:
- Azureポータルへのアクセス
- https://portal.azure.com にサインインします
- 適切な権限(所有者または寄与者ロール)を持つアカウントでログイン
- ストレージアカウントの選択
- 検索バーで「ストレージ アカウント」を検索
- 対象のストレージアカウントを選択
- 構成ページへの移動
- 左側メニューの「設定」セクションから「構成」を選択
- 認証設定の変更
- 「セキュリティ」セクションまでスクロール
- 「デフォルトでOAuth認証を使用」または「AzureポータルでMicrosoft Entra認証をデフォルトにする」を探す
- ドロップダウンから「有効」を選択
- 変更の保存
- ページ上部の「保存」ボタンをクリック
- 保存後、設定が即座に反映されることを確認
新規ストレージアカウント作成時:
- 作成ウィザードの開始
- Azureポータルで「ストレージ アカウント」を検索
- 「+ 作成」または「ストレージアカウントの作成」を選択
- 基本設定
- サブスクリプション、リソースグループ、ストレージアカウント名を入力
- リージョン、パフォーマンス、冗長性を選択
- 詳細設定タブ
- 「詳細」タブに移動
- 「セキュリティ」セクションを表示
- セキュリティ設定
- 「Microsoft Entra 認証をポータルで既定で使用」または「デフォルトでOAuth認証を使用」をチェック
- その他の推奨セキュリティ設定:
- 「安全な転送が必要」:有効(HTTPSのみ)
- 「最小TLSバージョン」:TLS 1.2
- 「インフラストラクチャ暗号化を有効化」:チェック
- 「Blobのパブリックアクセスを許可する」:無効
- 作成の完了
- 「確認および作成」タブで設定を確認
- 「作成」をクリックしてデプロイ
最後に
この記事では、Azure Storageアカウントにおける「Microsoft Entra認証をデフォルトにする」設定の重要性と実装方法について解説しました。
この設定を有効にすることで:
- アクセスキーの不適切な使用を防止
- 個人レベルの監査証跡を確保
- Azure RBACによるきめ細かなアクセス制御を実現
- MFAや条件付きアクセスの適用が可能
- ゼロトラストセキュリティモデルの実現に貢献
重要なポイントは、この設定だけでなく、適切なRBACロールの割り当て、ネットワーク制限、監査ログの有効化など、多層防御のアプローチを採用することです。
この問題の検出は弊社が提供するSecurifyのCSPM機能で簡単に検出及び管理する事が可能です。 運用が非常に楽に出来る製品になっていますので、ぜひ興味がある方はお問い合わせお待ちしております。 最後までお読みいただきありがとうございました。この記事が皆さんの役に立てば幸いです。
CSPMについてはこちらで解説しております。併せてご覧ください。
